-
Junior Member
- Вес репутации
- 59
AVZ не создает логи.
Система ВИН98. Неустойчивый инет. не могу порой зайти на mail.ru
На рабочем столе появлялись какие-то экзешники. Убивал не запуская.
hijackthis.log создан
AVZ работает, но в конце работы выдает надпись invalid variant type
создан только virusinfo_cure.zip длиной 22 байта.
Потому привожу выдержки из сообщений, хотя это и не полагается...
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Детектирована модификация IAT: LoadLibraryA - 00505A4D<>BFF776D0
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Детектирована модификация IAT: GetDC - 00505A4D<>BFF5249D
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Детектирована модификация IAT: FreeSid - 00505A4D<>BFE82125
Анализ ws2_32.dll, таблица экспорта найдена в секции .rdata
Анализ wininet.dll, таблица экспорта найдена в секции .text
Детектирована модификация IAT: InternetOpenA - 00505A4D<>7022A5FB
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Детектирована модификация IAT: LoadLibraryA - 00505A4D<>BFF776D0
Детектирована модификация IAT: GetProcAddress - 00000002<>BFF76DA8
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Детектирована модификация IAT: GetDC - 00505A4D<>BFF5249D
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Детектирована модификация IAT: FreeSid - 00505A4D<>BFE82125
Анализ ws2_32.dll, таблица экспорта найдена в секции .rdata
Анализ wininet.dll, таблица экспорта найдена в секции .text
Детектирована модификация IAT: InternetOpenA - 00505A4D<>7022A5FB
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
2. Проверка памяти
Количество найденных процессов: 18
Анализатор - изучается процесс 4293090533 C:\WINDOWS\SYSTEM\NVMCTRAY.DLL
[ES]:Приложение не имеет видимых окон
[ES]:Размещается в системной папке
[ES]:Записан в автозапуск !!
Последний раз редактировалось tch; 19.04.2008 в 20:10.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Обновите базы AVZ и попробуйте снова сделать стандартные логи, как написано в правилах. Если не получится, то сделайте так: Зайдите в AVZ - Файл - Исследование Системы
Нажмите на "Пуск" и сохраните протокол. Полученный протокол прикрепите сюда.
Последний раз редактировалось kps; 15.03.2008 в 19:59.
-
-
Junior Member
- Вес репутации
- 59
С обновленными базами получилось
Последний раз редактировалось tch; 19.04.2008 в 20:10.
-
Вы логи АВЗ делали под администратором?
Добавлено через 2 минуты
В АВЗ сервис--поиск файлов на диске, поищите winstart.bat и пришлите его согласно приложению 2 правил.
Последний раз редактировалось wise-wistful; 16.03.2008 в 20:55.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 59
В администрировании я чайник... под 98-й это возможно?
winstart.bat нашел. там только 2 байта - 0Dh 0Ah
-
Сообщение от
tch
В администрировании я чайник...
логи нужно делать под прользователем с правами администратора
у вас такие права есть ?
-
-
Junior Member
- Вес репутации
- 59
комп мой личный, права наверное есть. на как в 98 й винде этими правами воспользоваться?
-
ссори не посмотрел что 98 ...
-
-
Сообщение от
tch
В администрировании я чайник... под 98-й это возможно?
Нет .
Сообщение от
tch
winstart.bat нашел. там только 2 байта - 0Dh 0Ah
а файл прочитать текстовым эдитором можете?
Последний раз редактировалось Rene-gad; 16.03.2008 в 21:42.
-
-
Junior Member
- Вес репутации
- 59
Так текстовым и смотрел, в hex формате
Как я понимаю, там только перевод каретки...
-
C:\PROGRAM FILES\FLASHGET\JCCATCH.DLL - пришлите согласно приложения 3 правил ...
-
-
Сообщение от
tch
Так текстовым и смотрел, в hex формате
батники пишутся как текстовые файлы т.е. в ASCII - знаках. Если это не так - то это и не батник
-
-
Junior Member
- Вес репутации
- 59
Отправил. Может снести флешгет сразу?
Насчет батника - 0D 0A - это всего лишь перевод строки... enter , не более.
просто во вьювере пустая строка не видна
-
Это нормальный батник. Просто, в своё время, был нехороший батник с таким именем и немного другим наполнением.
-
Junior Member
- Вес репутации
- 59
Был был нехороший батник в природе или был у меня? У меня как то при загрузке комп выматерился что какой - файл не является PE приложением или что-то вроде того. Я нашел этот файл, имя состояло из одних цифр, но длина была нулевой, но он был прописан в автозагрузке. Я его удалил, и из загрузки выгрузил. Видимо он самоликвидировался... Вот я и думаю, может с батом подобное?
И сносить мне флешгет?
-
C:\PROGRAM FILES\FLASHGET\JCCATCH.DLL - Adware-FlashGet так что на ваше усмотрение ....
думаю просто стоит поставить версию посвежее ...
-
-
Junior Member
- Вес репутации
- 59
V_Bond, спасибо. Перейду на другую качалку. Флешгет себя запятнял. А что сделать, чтобы экзешники на рабочий стол не лезли? Было уже 3 штуки. Один с именем из одних цифр, один с бессмысленным названием и один кажется назывался admin*.exe (это на 98-й винде )... Я эту дрянь мочу на месте, но жена может по незнанию кликнуть...
-
переходите на более защищенню ось например XP ....
-
-
Junior Member
- Вес репутации
- 59
Значит, с этим ничего не сделать? Жаль. Но и ХР не панацея. У дочери подобный экзешник и под хрюном всплыл... Я думал что 98 более защищена... По крайней мере под нее заразу уже не пишут, и под досом я с системой могу успешно побороться
-
Сообщение от
tch
.. Я думал что 98 более защищена...
у вас локальная сеть есть ?
-